ANSÄTZE ZUR RISIKOABWÄGUNG BEI DIGITALEN GEHEIMEN ABSTIMMUNGEN IM RAHMEN VON VERSAMMLUNGEN - VIRTUELLE VERSAMMLUNGEN UND ABSTIMMUNGEN (VIVA) ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Ansätze zur Risikoabwägung bei digitalen geheimen Abstimmungen im Rahmen von Versammlungen Virtuelle Versammlungen und Abstimmungen (ViVA) Version 1.0
Änderungshistorie
Version Datum Name Beschreibung
0.5 02.11.2020 Projektteam ViVA Ersterstellung
1.0 30.07.2021 Projektteam ViVA Anpassungen und
Umstrukturierung
Bundesamt für Sicherheit in der Informationstechnik
Postfach 20 03 63
53133 Bonn
E-Mail: viva@bsi.bund.de
Internet: https://www.bsi.bund.de/viva
© Bundesamt für Sicherheit in der Informationstechnik 2021Inhalt
Inhalt
1 Einleitung ............................................................................................................................................................................................ 4
2 Wahlgrundsätze................................................................................................................................................................................ 5
2.1 Öffentlichkeit und Nachvollziehbarkeit bzw. Verifizierbarkeit ........................................................................ 5
2.2 Überprüfbarkeit und Vertrauen ...................................................................................................................................... 5
3 Risikobetrachtung ........................................................................................................................................................................... 7
3.1 Exponiertheit .......................................................................................................................................................................... 7
3.2 Umfeld und IT der Abstimmenden ............................................................................................................................... 7
3.3 Zentrale Prozesse und Systeme ....................................................................................................................................... 8
3.3.1 Überprüfung der Abstimmungsprozesse und -IT .............................................................................................. 8
3.3.2 Archivierung ...................................................................................................................................................................... 9
3.4 Verifizierung der Stimmabgabe, Stimmaufzeichnung und -auszählung ...................................................... 9
3.5 Nicht betrachtete Szenarien ........................................................................................................................................... 10
4 Fazit...................................................................................................................................................................................................... 11
Bundesamt für Sicherheit in der Informationstechnik 31 Einleitung 1 Einleitung Die elektronische Umsetzung geheimer Abstimmungen im Rahmen von Versammlungen ist mit Risiken verbunden. Ähnlich wie bei der Briefwahl können einzelne Aspekte der geheimen Abstimmung nicht gänzlich in einem digitalen (bzw. elektronischen oder virtuellen) Verfahren umgesetzt werden. So gibt es z. B. weder Wahlkabinen noch ausgefüllte, anfassbare Stimmzettel. Wie bei der Briefwahl kann niemand garantieren, dass die Kreuze wirklich durch den Abstimmenden selbst gemacht werden, und auch nicht, dass alles geheim abläuft. Im Folgenden sollen die primär betroffenen Wahlgrundsätze angerissen und einige grundsätzliche Fragen gestellt werden, welche geklärt werden müssen, bevor eine geheime Abstimmung elektronisch umgesetzt wird. Welche Anforderungen und Rahmenbedingungen stelle ich an die Abstimmung? Welche Aspekte sind mir bei der Abstimmung besonders wichtig, welche weniger wichtig? Welche sind nicht gänzlich von der realen in die virtuelle Welt übertragbar? Welche Alternativen gibt es, was ist technisch machbar? Und vor allem: Welche Risiken bin ich bereit zu tragen? 4 Bundesamt für Sicherheit in der Informationstechnik
2 Wahlgrundsätze 2 Wahlgrundsätze Die Anforderungen an Abstimmungen spiegeln sich insbesondere in den Wahlgrundsätzen wider. Auch wenn wir in diesem Text keine politischen Wahlen (Bundestags-, Landtags-, Kommunalwahlen) betrachten, sondern es um Abstimmungen und Wahlen in Versammlungen geht, stellen wir uns die Frage: Was bedeutet eine digitale Umsetzung für diese Grundsätze? Während beispielsweise der Wahlgrundsatz "Allgemeinheit" durch einen online eventuell einfacheren Zugang sogar gestärkt werden könnte, ist dies bei "Nachvollziehbarkeit" und "Überprüfbarkeit" aus Sicht der Nicht-IT-ExpertInnen zunächst einmal anders. Hier muss eine Risikoabwägung erfolgen. 2.1 Öffentlichkeit und Nachvollziehbarkeit bzw. Verifizierbarkeit Grundsatz vieler Wahlen und Abstimmungen ist die Öffentlichkeit. Sie dient der Transparenz und Kontrolle, z. B. bei Vorbereitung, Durchführung und Ergebnisauszählung bei Abstimmungen in Versammlungen, sei es in Vereinen, bei Unternehmensversammlungen, in Gremien oder auf Parteitagen. Sie stellt einen wichtigen Legitimationsakt dar und hat eine symbolische Bedeutung der Teilhabe des Einzelnen. Die Öffentlichkeit kann - vertreten nicht nur durch einen Vorstand, sondern auch durch interessierte BürgerInnen - die Kontrolle der Abstimmung ermöglichen. In der "physischen Welt" ist die Nachvollziehbarkeit und das Vertrauen in die Richtigkeit der geheimen Abstimmung ohne besondere Fachkenntnis grundsätzlich möglich, z. B. durch Präsenz bei der Abstimmung sowie der Auszählung. In der elektronischen Umsetzung ist eine Nachvollziehbarkeit nicht ohne Weiteres für jedermann gegeben. Eine störungsfreie Durchführung von Abstimmungen setzt fehlerfreie Prozesse und Systeme voraus. Die Einhaltung von Standards und Richtlinien ist hierfür ein etablierter Weg. Vertrauen in Prozesse und Systeme kann durch eine Überprüfung durch Experten geschaffen werden. Eine Zertifizierung ist die unabhängige Bestätigung einer solchen Überprüfung. Das BSI plant, 2022 ein Schutzprofil für Abstimmungs- und Wahlsoftware sowie eine Technische Richtlinie für die umzusetzenden Prozesse fertigzustellen. Produkte können im Anschluss nach dem Schutzprofil zertifiziert werden. Wird die Software in einer eigenen Betriebsumgebung betrieben, kann diese mittels IT-Grundschutz abgesichert werden. Bei der Nutzung eines Betriebsdienstleisters oder einer Software as a Service (SaaS) besteht die Möglichkeit die Absicherung der Betriebsumgebung durch eine Zertifizierung nach ISO 27001 bzw. ISO 27001 auf Basis von IT-Grundschutz zu überprüfen. Darüber hinaus kann der Ansatz der sogenannten Ende-zu-Ende-Verifizierbarkeit für zusätzliche Sicherheit und zusätzliches Vertrauen sorgen, weil er es ermöglicht, die Korrektheit von Stimmabgabe (cast-as- intended), Stimmaufzeichnung (stored-as-cast) und Stimmauszählung (tallied-as-stored) unabhängig zu überprüfen. 2.2 Überprüfbarkeit und Vertrauen Die Anforderung Überprüfbarkeit bedeutet (übertragen auf Abstimmungen in Versammlungen), dass alle wesentlichen Schritte der Abstimmung zuverlässig und ohne besondere Sachkenntnis überprüfbar sein sollen. Dies schafft Vertrauen in die Abstimmung, in die durchführende Organisation und legitimiert das Ergebnis. In der juristischen Literatur wird gefordert, dass alle wesentlichen Schritte des Abstimmprozederes zusätzlich nicht-elektronisch kontrollierbar sein müssen. Zu hinterfragen wäre, ob statt eines nicht-elektronischen Weges auch ein alternativer, unabhängiger Weg ausreichend sein könnte. Der Ablauf elektronischer Abstimmungen erfolgt naturgemäß weder physisch sichtbar, beobachtet durch die Organisatoren vor Ort, noch in einer Versammlung an der Abstimmungsurne, sondern elektronisch. Das erschwert die Überprüfbarkeit ohne besondere Sachkenntnis. Damit geht die grundsätzliche Frage einher: Bringe ich als Abstimmende*r dem elektronischen Abstimmungsprozess, und optional dem ergänzenden Überprüfungsprozess, bzw. denjenigen, die diese(n) und die zugrundeliegende Technik überprüft haben, das Bundesamt für Sicherheit in der Informationstechnik 5
2 Wahlgrundsätze notwendige Vertrauen entgegen? Und bin ich überzeugt, dass Hackerangriffe kein realistisches Szenario darstellen oder dass ein ausreichender Schutz vor diesen besteht bzw. solche rechtzeitig bemerkt würden? 6 Bundesamt für Sicherheit in der Informationstechnik
3 Risikobetrachtung
3 Risikobetrachtung
In der Praxis werden unterschiedlichste Prozesse und diverse IT-Systeme angewendet, die unterschiedliche
Sicherheitsanforderungen und Prüfmöglichkeiten abdecken. Die Auswahl sollte nicht nur anhand der
Kostenfrage erfolgen, sondern vorab eine Risikobetrachtung umfassen. Welche Anhaltspunkte und Fragen
gibt es, um Vertrauen und Nachvollziehbarkeit zu schaffen? Hierfür können verschiedene Aspekte
aufgelistet werden, die ein Organisator in Betracht ziehen kann. Wer eine geheime Abstimmung (auch)
digital ermöglichen möchte, ist für deren Rahmenbedingungen verantwortlich, er muss definieren, wie mit
hinzukommenden Risiken umgegangen werden soll, was akzeptabel ist und was eben auch nicht mehr
akzeptabel ist.
Eine Organisation, die plant, eine geheime Abstimmung digital durchzuführen, sollte sich bei der Planung
im Zuge der Risikobetrachtung zumindest mit folgenden Fragen auseinandersetzen.
3.1 Exponiertheit
• Wie stark steht die Organisation im öffentlichen Fokus? Wie gefährdet ist die Abstimmung? Muss mit
Angriffen gerechnet werden und wenn ja mit welcher Art von Angreifern?
Die Exponiertheit der Organisation oder der Abstimmung sollte im Vorfeld abgeschätzt werden.
3.2 Umfeld und IT der Abstimmenden
• Welche Anforderungen gibt es an das Umfeld der Abstimmenden?
• Ist es erforderlich, dass niemand bei der Stimmabgabe zusehen kann? Dies ist insbesondere wichtig,
wenn die Aspekte Stimmenkauf oder Erpressbarkeit bei der Abstimmung von Relevanz sind.
Bei Stimmabgabe außerhalb des Abstimmungsraums kann nicht sichergestellt werden, dass keine
andere Person zusieht so wie auch bei einer Briefwahl.
Durch organisatorische Vorgaben an die Abstimmenden kann geregelt werden, dass die
Abstimmung geheim durchgeführt werden muss.
• Wie kann sichergestellt werden, dass die abgegebene Stimme korrekt erfasst und anschließend an die
zentralen Systeme übertragen wird?
Durch organisatorische und/oder technische Vorgaben an die Nutzer-IT kann ein gewünschtes
Mindest-Sicherheitsniveau erreicht werden. Auf diese Weise kann die Wahrscheinlichkeit
reduziert werden, dass Schadsoftware auf die Systeme der Abstimmenden gelangt und die
Stimmabgabe manipuliert.
In besonders wichtigen Fällen kann die Abstimmung über von der Organisation bereitgestellte,
zentral administrierte IT erfolgen.
Ein alternativer Ansatz ist der Einsatz von sogenannten cast-as-intended-Verfahren, die eine
Überprüfung der Stimmabgabe durch die Abstimmenden erlauben, sodass eine evtl. Manipulation
einer Stimmabgabe auf dem Endgerät sofort offensichtlich würde (siehe hierzu weiter unten
"Verifizierung der Stimmabgabe, Stimmaufzeichnung und -auszählung"). Durch organisatorische
und/oder technische Vorgaben an die Nutzer-IT kann ein gewünschtes Mindest-Sicherheitsniveau
erreicht werden. Auf diese Weise kann die Wahrscheinlichkeit reduziert werden, dass
Schadsoftware auf die Systeme gelangt und die Stimmabgabe manipuliert.
Bundesamt für Sicherheit in der Informationstechnik 73 Risikobetrachtung
3.3 Zentrale Prozesse und Systeme
3.3.1 Überprüfung der Abstimmungsprozesse und -IT
• Muss die Abstimmungsprozesse und -IT grundsätzlich durch jeden überprüfbar sein?
Durch Offenlegung der Verfahrensbeschreibung und des Quellcodes (OpenSource) könnte dies
ermöglicht werden. Auf diese Weise können eventuell vorhandene Lücken oder
Manipulationsmöglichkeiten leichter auffindbar gemacht werden.
Wenn ein Hersteller gefundene Schwachstellen schnell und nachhaltig behebt, ist dies ein Grund,
Vertrauen in die Software zu haben.
Insbesondere für Abstimmungen, die im besonderen Fokus von versierten Angreifern stehen, ist
zu berücksichtigen, dass Manipulationen von darunter liegenden Systemen (Betriebssystem,
Hardware) das Ergebnis auch bei korrekt funktionierender Abstimmungssoftware manipulieren
können
• Reicht es, sich auf die Selbstauskunft des Herstellers/Betreibers der Abstimmungsprozesse und -IT zu
verlassen?
Grundlegende Sicherheitsanforderungen müssen durch Hersteller und Betreiber umgesetzt sein.
Siehe Anforderungen an Produkte für virtuelle Versammlungen und Abstimmungen Version 1.0
• Reicht es, wenn vom Hersteller unabhängige Experten die Abstimmungsprozesse und -IT überprüft
haben und auf diese Weise Vertrauen in Prozess und System geschaffen wird?
Das Abstimmungs-IT-Produkt könnte verpflichtend eine Produktzertifizierung durchlaufen, auf
Basis eines Schutzprofils, das hierfür z. B. durch das BSI unter Beteiligung der Öffentlichkeit
erstellt werden würde.
Die Abstimmungs-IT-Landschaft könnte verpflichtend eine Zertifizierung nach ISO 27001 bzw.
nach ISO 27001 auf Basis von IT-Grundschutz durchlaufen.
Die Abstimmungs-IT könnte verpflichtend einen Penetrationstest, eine Revision oder ein anderes
standardisiertes Testverfahren durchlaufen.
Die Abstimmungs-IT könnte gemäß den Prinzipien der Ende-zu-Ende-Verifizierbarkeit konzipiert
sein (siehe Abschnitt "Verifizierung der Stimmabgabe, Stimmaufzeichnung und -auszählung")
• Woher wissen die Abstimmenden, dass das geprüfte System eingesetzt wird?
• Wer überwacht die Manipulationsfreiheit des Abstimmungssystems bis zur und während der
Abstimmung?
• Welche Form der Überwachung der Abstimmungssysteme muss umgesetzt werden, wie lange muss
diese aktiv sein, um sicherzustellen, dass die Systeme nicht von Dritten (vor Ort oder über das
Internet) manipuliert wurden?
Eine Vorgehensweise nach IT-Grundschutz könnte entsprechende "Überwachungsprozesse"
vorsehen.
Ein weiterer Ansatz, der insbesondere bei Ende-zu-Ende-verifizierbaren Systemen zum Einsatz
kommt, besteht darin, dass eine Verifikation der korrekten Speicherung der Stimme und
Ergebnisbildung mit unabhängigen Mitteln vorgenommen werden kann. Diese Verifizierung kann
unabhängig davon stattfinden, welches (evtl. manipulierte) System eingesetzt wurde (siehe unten
bei "Verifizierung der Stimmabgabe, Stimmaufzeichnung und -auszählung".
8 Bundesamt für Sicherheit in der Informationstechnik3 Risikobetrachtung
3.3.2 Archivierung
• Müssen die Ergebnisse längerfristig aufbewahrt werden, sodass das Ergebnis auch lange nach der
Auszählung noch einmal überprüft werden könnte? Oder muss der Ablauf der Abstimmung in
nachvollziehbarer und beweissicherer Form so protokolliert werden, dass technische
Unregelmäßigkeiten sowie versuchte und vollendete Angriffe auf das Online-Abstimmsystem und
Manipulationen des Online-Abstimmsystems erkennbar sind?
Die Inhalte der Abstimmungsurne sowie alle sonstigen für die Überprüfbarkeit/Verifizierung
relevanten Daten (inklusive der Protokolldaten) sollten gemäß der Aufbewahrungsfristen
beweissicher durch geeignete technisch-organisatorische Maßnahmen gemäß dem Stand der
Technik gespeichert werden. Dafür kann ein nach TR-ESOR (TR-03125) zertifiziertes Produkt
verwendet werden.
3.4 Verifizierung der Stimmabgabe, Stimmaufzeichnung und
-auszählung
• Kann auf eine Verifizierung der Stimmabgabe, Stimmaufzeichnung und -auszählung verzichtet werden?
Je nach Art der Organisation und Wahrscheinlichkeit eines Abstimmungsausgangs ist evtl. die
Verifizierung nicht so wesentlich, es geht primär um die Geheimhaltung bzgl. der Frage, wer wie
abgestimmt hat. (Beispiel: Vorstandswahlen in kleinen Vereinen, wenn nur ein/e KandidatIn
antritt) Zu berücksichtigen ist hier jedoch das Szenario, dass ein unglaubwürdiges Ergebnis (z. B.
KandidatIn erhält nur 30% der Stimmen) die Frage nach der grundsätzlichen Glaubwürdigkeit des
elektronischen Abstimmprozesses und -systems aufwirft.
• Soll bei der Abstimmung für den Abstimmenden lediglich nachvollziehbar/verifizierbar sein, dass er/sie
abgestimmt hat? Soll jeder Abstimmende nachvollziehen können, dass seine Stimme gezählt wurde?
Durch das Eintragen des Kennzeichens auf einer (von den abgegebenen Stimmen getrennt
gespeicherten) Liste der zur Abstimmung bereits verwendeten Kennzeichen kann ein
Abstimmender überprüfen, ob seine Stimme registriert wurde. Voraussetzung ist, dass das System
manipulationsfrei arbeitet und die Prüffunktionalität angeboten wird.
• Oder ist es gewünscht bzw. erforderlich, dass die korrekte Registrierung der eigenen Stimme (stored-as-
cast) sowie die korrekte Ergebnisbildung (tallied-as-stored) überprüft werden können?
Um sicherzustellen, dass Stimmen korrekt übertragen, aufgezeichnet und gezählt wurden, ist es
erforderlich, dass einerseits jeder überprüfen kann, dass das ermittelte Ergebnis korrekt die
verschlüsselten Stimmen wiedergibt (universelle Verifizierbarkeit), und dass jeder für seine
Stimmabgabe prüfen kann, dass die Stimme korrekt abgespeichert wurde (individuelle
Verifizierbarkeit). Unter dem Begriff Ende-zu-Ende-Verifizierbarkeit sind Verfahren beschrieben,
die dies technisch ermöglichen.
Konkret können vom eigentlichen Abstimmsystem unabhängige Tools die Ergebnisse überprüfen,
ohne die Vertraulichkeit der individuellen Stimmabgabe aufzuheben.
Bei der individuellen Verifizierbarkeit kann die Möglichkeit zur Prüfung der Korrektheit der
eigenen Stimme - je nach angewendetem Verfahren - (evtl. unzulässiger Weise) genutzt werden,
um gegenüber Dritten das Abstimmungsergebnis für die eigene Stimme nachzuweisen.
Bundesamt für Sicherheit in der Informationstechnik 93 Risikobetrachtung
3.5 Nicht betrachtete Szenarien
Folgende Risikoszenarien wurden bewusst nicht näher betrachtet, da sie auch in der physischen/analogen
Welt geheimer Abstimmungen nicht gänzlich auszuschließen sind und daher auch in der virtuellen
Umsetzung bis zu einem gewissen Grad (Risiko) im Rahmen der Risikoabschätzung akzeptiert werden
können:
• Wahlbeeinflussung
• Dokumentation des eigenen Stimmverhaltens / Stimmen(ver)kauf, z. B. durch Foto (Selfie) in
Wahlkabine, Beobachtung/Einsicht durch Dritte, Wahlbefragung
• Die Möglichkeit, seine Stimmabgabe nachträglich zu korrigieren (revoting), ist ein Ansatz, um diesem
Problem zu begegnen. Es erschwert jedoch die IT-mäßige Umsetzung im Hinblick auf die
Nachvollziehbarkeit und erfordert ggfs. komplexere Verfahren, da in diesem Kontext auch die
Tatsache, dass eine Stimmabgabe korrigiert wurde, geheim bleiben soll.
10 Bundesamt für Sicherheit in der Informationstechnik4 Fazit 4 Fazit Will eine Organisation eine geheime Abstimmung virtuell durchführen, so helfen die oben aus den Wahlgrundsätzen abgeleiteten Fragen bei der Risikobetrachtung. Erst wenn die Risikobetrachtung durchgeführt wurde, erscheint es sinnvoll, sich mit den konkreten technischen Umsetzungen eingehender zu beschäftigen. Die Überprüfung und evtl. Zertifizierung von Prozessen und Systemen sowie die Verifizierbarkeit der Abstimmung sind dabei zwei sich ergänzende Herangehensweise, die in Kombination eine optimale Sicherheit gewährleisten. Eine Überprüfung/Zertifizierung hilft, Schwachstellen zu schließen, sodass Angriffe möglichst verhindert und Fehlverhalten möglichst ausgeschlossen werden kann. Die stichprobenartig angewandte Verifizierung stellt darüber hinaus sicher, dass Manipulationen erkannt werden. Beides zusammen schafft das für elektronische Abstimmungen benötigte Vertrauen. Darüber hinaus sollte man sich im Vorfeld einer Abstimmung auch Gedanken machen, wie man mit unerwarteten Ergebnissen umgeht, also z. B. unglaubwürdigen Abstimmergebnissen oder unglaubwürdiger Wahlbeteiligung, und sich insbesondere bei öffentlich wahrnehmbaren Abstimmungen auf die Kommunikation bei auftretenden Problemen (Krisenkommunikation) vorbereiten. Bundesamt für Sicherheit in der Informationstechnik 11
Sie können auch lesen
